ВидеоКонф(ВКС)  ::   Чат  ::   FAQ  ::   Поиск  ::   Регистрация  ::   Вход

В чем смысл попытки взлома Инвайтами ?

Проблемы и их решения Asterisk как такового

Модератор: april22

В чем смысл попытки взлома Инвайтами ?

Сообщение Ferrum » 17 дек 2021, 18:58

Подключился к старой АТС версии 1.8
И периодически проскакивают подобные сообщения
[2021-12-17 16:45:59] NOTICE[9415]: chan_sip.c:22793 handle_request_invite: Sending fake auth rejection for device <sip:801@X.X.X.X>;tag=929606901
Где X.X.X.X Айпи АТС
Попытки подбора учёток с помощью пакетов регистрации банится fail2ban
Для исключения этого подбора Инвайтами, надо пачтить исходники АТС или переходить на версию выше, с этим понятно.
Не понятно другое, смысл этих действий злоумышленника, даже если уч данные будут угаданы, все равно выскочит аналогичная SIP/2.0 403 Forbidden (Bad auth), пока не будут оправлены валидные пакеты регистрации
При активных опциях
alwaysauthreject=yes
allowguest=no
Или я не прав ?
Аватар пользователя
Ferrum
 
Сообщений: 321
Зарегистрирован: 25 ноя 2011, 15:16

Re: В чем смысл попытки взлома Инвайтами ?

Сообщение Ferrum » 19 дек 2021, 21:11

Хм сейчас с 8 американских айпи, притом везде From: <sip:10001@ (Предполагаю это зараженные вирусом пользовательские ПК Зомби, которые принадлежат одному взломщику)
Сыплют Инвайтами без пароля, натыкаясь на SIP/2.0 401 Unauthorized

Цифры в поле To: постоянно новые, но есть закономерность, после первых четырех цифр следует 46431313360

From: <sip:10001@
To: <sip:579246431313360@

From: <sip:10001@
To: <sip:915246431313360@

Что это за первые 4 цифры, полагаю 46431313360 это все же номер, мне интересно, а в самом модуле sip нет уязвимости, которое позволяет пересылать пакеты в обход диалплна и других модулей.
Аватар пользователя
Ferrum
 
Сообщений: 321
Зарегистрирован: 25 ноя 2011, 15:16

Re: В чем смысл попытки взлома Инвайтами ?

Сообщение Zavr2008 » 19 дек 2021, 23:36

Префиксы подбирают чтобы прозвониться. Это сканеры.
Asterisk 1.8 имел уязвимость в chan_sip, и я бы Вам не советовал открывать порт 5060 для всего мира, даже с fail2ban - сканеры стали умными и атака может быть длительной - месяцами, чтобы в бан не попадать.
Российские шлюзы E1 Alvis-GW. Voip-Модернизация УПАТС, FreePBX, CRM. Продолжаем работать, импортозамещаем!
Аватар пользователя
Zavr2008
 
Сообщений: 1933
Зарегистрирован: 27 янв 2011, 01:35

Re: В чем смысл попытки взлома Инвайтами ?

Сообщение Ferrum » 20 дек 2021, 00:27

Да как то не похожи эти 4 цифры на префиксы, на 13 Астериске если убрать правило по инвайтам в файл2бан, аналогичный подбор (да и с ним постоянно, айпи меняются, притом владелец этих ботов один), как будто ID подбирают (ID чего ?), тут конечно надо исходники изучать.
Смысл подбирать префиксы, если не попасть в диалплан не пройдя регистрации, без этой процедуры ответ на инвайт даже с правильными учетными данными, будет стандартный SIP/2.0 403 Forbidden
Я чего боюсь, что взломают и найдут способ переправить сигнализацию внутри самого chan_sip, а я даже об этом не узнаю, так как в логах это не будет отражено.
А что за уязвимость была в 1.8 ?, и в какой ревизии она была устранена, ведь 1.8 развивалась очень долго
Аватар пользователя
Ferrum
 
Сообщений: 321
Зарегистрирован: 25 ноя 2011, 15:16

Re: В чем смысл попытки взлома Инвайтами ?

Сообщение Zavr2008 » 20 дек 2021, 00:41

Да как то не похожи эти 4 цифры на префикс

Очень даже похоже на это, точнее - стандартно.
Думать не надо - закрывать нужно форточку, а то будет поздно когда на Сомали налетите.
В 1.8 так и не поправили CVE, поскольку EOL.
Российские шлюзы E1 Alvis-GW. Voip-Модернизация УПАТС, FreePBX, CRM. Продолжаем работать, импортозамещаем!
Аватар пользователя
Zavr2008
 
Сообщений: 1933
Зарегистрирован: 27 янв 2011, 01:35

Re: В чем смысл попытки взлома Инвайтами ?

Сообщение Ferrum » 20 дек 2021, 01:17

А если вас затруднит рассказать, как все таки происходит этот взлом, какие звезды должны сойтись чтоб это произошло, каким образом они попадают в диалплан если вообще в него попадают ?
Аватар пользователя
Ferrum
 
Сообщений: 321
Зарегистрирован: 25 ноя 2011, 15:16

Re: В чем смысл попытки взлома Инвайтами ?

Сообщение yvatfwp » 20 дек 2021, 12:36

Все прозаично.
Понять какой аккаунт есть. Если пира нет то от астера приходит один ответ, если пир есть то другой ответ, затем если пир есть вызывается другой запрос с попыткой набора или с регистром после чего он обычно попадает в бан по классическим правилам.
yvatfwp
 
Сообщений: 73
Зарегистрирован: 27 окт 2015, 12:50

Re: В чем смысл попытки взлома Инвайтами ?

Сообщение Ferrum » 20 дек 2021, 13:25

Слишком прозаично, повторюсь при активных опциях
alwaysauthreject=yes
allowguest=no
Вообще не будет никакой разницы, есть реальный пир или нет, ответ будет един.
SIP/2.0 401 Unauthorized при отсутствии данных авторизации
SIP/2.0 403 Forbidden (Bad auth) с данными авторизация (притом даже если они валидные)

Как раз обычно пытаются подбирать с одного аккаунта (которого обычно в реальности нет), меняя номер в поле To:
Аватар пользователя
Ferrum
 
Сообщений: 321
Зарегистрирован: 25 ноя 2011, 15:16

Re: В чем смысл попытки взлома Инвайтами ?

Сообщение sashulka » 20 дек 2021, 14:40

С опциями которые вы указали астериск прекрасно сделает вызов по инвайту
достаточно в настройке пира "напортачить" и никакие опции не помогут
sashulka
 
Сообщений: 2
Зарегистрирован: 20 дек 2021, 14:31

Re: В чем смысл попытки взлома Инвайтами ?

Сообщение Ferrum » 20 дек 2021, 15:25

Если не затруднит, приведите пример корявого пира
Аватар пользователя
Ferrum
 
Сообщений: 321
Зарегистрирован: 25 ноя 2011, 15:16

След.

Вернуться в Конфигурация и настройка Asterisk

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 6

© 2008 — 2022 Asterisk.ru
Digium, Asterisk and AsteriskNOW are registered trademarks of Digium, Inc.
Design and development by PostMet-Netzwerk GmbH